Brutale aanvallen

Brute-force aanvallen worden uitgevoerd door hackers die proberen een wachtwoord te kraken door simpelweg verschillende combinaties van karakters achter elkaar uit te proberen. Het algoritme is zeer eenvoudig en beperkt zich tot het uitproberen van zoveel mogelijk tekencombinaties, daarom wordt het ook wel "uitputtend zoeken" genoemd. De aanvaller maakt meestal gebruik van een krachtige computer, die veel berekeningen per seconde uitvoert en daardoor in de kortst mogelijke tijd een groot aantal combinaties kan testen.

De methode wordt in de praktijk vaak met succes toegepast, omdat veel gebruikers korte wachtwoorden gebruiken, die vaak alleen uit de letters van het alfabet bestaan, waardoor het aantal mogelijke combinaties drastisch wordt gereduceerd en het raden wordt vergemakkelijkt.

Ontcijfering van wachtwoorden

De Projekt RC5-72 van de organisatie Distributed.net laat zien hoe snel wachtwoorden kunnen worden gedecodeerd. Het doel van het project is het ontcijferen van een bericht, dat is versleuteld met een 72-bits sleutel. Hiervoor worden alle mogelijke sleutels uitgeprobeerd tot de juiste sleutel is gevonden. Aangezien verschillende gebruikers hun computercapaciteit voor dit project ter beschikking stellen, kunnen momenteel (vanaf 8 mei 2012) meer dan 800 miljard sleutels per seconde worden gegenereerd. Oudere projecten in deze organisatie kraakten een 56-bits sleutel binnen 250 dagen en een 64-bits sleutel binnen 1.757 dagen.

Combinatie en lengte van het wachtwoord

Enkele rekenvoorbeelden illustreren de interactie tussen lengte en gebruikte karakters voor de beveiliging van een wachtwoord. In de rekenvoorbeelden wordt een generatie van 2 miljard toetsen per seconde verwacht, aangezien dit ongeveer overeenkomt met de snelheid van een zeer sterke enkele computer.

Bij het aanmaken van een wachtwoord zijn meestal de volgende karakters beschikbaar:

  • Cijfers (10 verschillende: 0-9)
  • Brieven (52 verschillende: AZ en az)
  • Speciale tekens (32 verschillende).

Het aantal mogelijke combinaties wordt berekend met de volgende formule:

Mogelijke combinaties = mogelijk aantaltekensWachtwoordlengte

Dit resulteert in de volgende rekenvoorbeelden zonder rekening te houden met andere factoren, zoals woordenboekaanvallen::

Het wachtwoord bestaat uitMogelijke combinatiesTijd nodig om te ontcijferen

5 tekens
(3 kleine letters,
2 cijfers)

365= 60.466.176

60.466.176 / 2
.000.000.000 =
0,03 seconden

7 tekens
(1 hoofdletter,
6 kleine letters)

527= 1.028.071.702.528

1.028.071.702.528 / 2
.000.000.000 =
514 Seconden =
ca. 9 minuten

8 tekens
(4 kleine letters,
2 speciale tekens,
2 cijfers)

688= 457.163.239.653.376

457.163.239.653.376 / 2
.000.000.000 =
228.581 Seconden =
ca. 2,6 dagen

9 tekens
(2 hoofdletters,
3 kleine letters,
2 cijfers,
2 speciale tekens)

949= 572.994.802.228.616.704

572.994.802.228.616.704 /
2.000.000.000 =
286.497.401 Seconden =
ca. 9,1 jaar

12 tekens
(3 hoofdletters,
4 kleine letters,
3 speciale tekens,
2 cijfers)

9412= 475.920.314.814.253.376.475.136

475.920.314.814.253.376.475.136 /
2.000.000.000 =
237.960.157.407.127 Seconden =
ca. 7,5 miljoen jaar

U ziet heel duidelijk de impact van de lengte van het wachtwoord en het gebruik van verschillende tekengroepen op de veiligheid van een wachtwoord.

Bescherming tegen brute aanvallen

De enige manier waarop je jezelf kunt verdedigen tegen brute-force aanvallen is door een complex hoofdwachtwoord te gebruiken dat lang genoeg is en bestaat uit een combinatie van letters, speciale tekens, cijfers en hoofdletters en kleine letters. Hoe complexer en langer uw wachtwoord is, hoe kleiner de kans dat de gebruikte software de door u gekozen combinatie toevallig "raadt", zoals u kunt zien aan de rekenvoorbeelden hierboven.

Wanneer u een nieuw wachtwoord aanmaakt in Password Depot of dit automatisch laat genereren met behulp van de Password Generator, zult u zien hoe lang het zou duren om dat wachtwoord te kraken. Password Depot houdt niet alleen rekening met bovenstaande factoren, zoals het aantal karakters, maar ook met andere kwetsbaarheden, zoals de kwetsbaarheid voor woordenboekaanvallen.

Een andere manier om brute-force aanvallen te bemoeilijken is het verlengen van de tijd tussen twee aanmeldingspogingen (na het verkeerd invoeren van een wachtwoord). Hierdoor kan de high-performance computer van de hacker worden vertraagd, ondanks de vele berekeningen per seconde die hij in theorie zou kunnen maken. Daarom wordt in Password Depot het dialoogvenster met het hoofdwachtwoord een paar seconden lang geblokkeerd als u een onjuist hoofdwachtwoord invoert. Nu er steeds vaker verkeerde wachtwoorden worden ingevoerd, neemt ook deze wachttijd toe.